Skanowanie pendrive-ów klientów. - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Dobór zestawu zabezpieczającego (https://safegroup.pl/forum-19.html) +--- Wątek: Skanowanie pendrive-ów klientów. (/thread-12512.html) |
Skanowanie pendrive-ów klientów. - osomaniak - 04.02.2023 Cześć, kumpel prowadzi studio fotograficzne, małą poligrafię. Często przychodzą klienci z pendrive na których mają fotki do wywołania, obrobienia, itp. Fotki, jak to fotki, dużo zajmują więc przez e-mail nie przejdą. Po drugie często przychodzą z ulicy pewni że dadzą nośnik i zostaną obsłużeni, tak więc odsyłanie ich z prośbą aby wrócili do domu i przesłali przez email (często z 20 maili bo wiadomo że skrzynki mają limit) czy skorzystania z jakiegoś hostingu (np. wetransfer) kończy się tym że nie wracają - klient stracony. Z drugiej strony włożenie takiego pendrive niejednokrotnie skończyło się infekcją. Wpadłem na pomysł aby uruchomił na jakimś innym komputerze linuksa (zgodnie z założeniami że na linuksa nie ma wirusów) i do tego jakiś antywirus (aby od razu zneutralizować zagrożenie) i dopiero wtedy takiego sprawdzonego, ewentualnie oczyszczonego pendrive użyć w firmie. Jeśli pomysł dobry, to jaką taka najbardziej wirusoodporną dystrybucję linuksa polecicie i do tego jaki antywirus do neutralizacji wykrytego szkodliwego oprogramowania. RE: Skanowanie pendrive-ów klientów. - Quassar - 04.02.2023 1)Wystarczy wyłączyć auto odtwarzanie pendriva... np w zasadach gpedit.msc 2)Można też wymusić otwieranie plików z pendrive w izolowanym środowisku typu sandboxie czy vmware 3)Po za pozbawieniem możliwości infekcji z poziomu pendriva jak wyżej opisałem warto sam system też zabezpieczyć i nie siedzieć na koncie administratora tylko zwykłym z ograniczeniami dostępu. Co to linuxa raczej nie uruchomi automatycznie plików exe RE: Skanowanie pendrive-ów klientów. - osomaniak - 05.02.2023 (04.02.2023, 21:20)Quassar napisał(a): To rozwiąże problem z infekcją typu autorun, a nie jeśli sam plik będzie zainfekowany. (04.02.2023, 21:20)Quassar napisał(a): Chciałbym jak najbardziej idiotoodporne rozwiązanie, kolega ma pracowników. Co innego pamiętać aby pendrive "przechodził" przez jakiś inny komputer zanim zostanie podłączony pod komputer do pracy, a co innego na tym właściwym komputerze pamiętać aby uruchomić jakiś program, gdy pendrive już jest podłączony i aż korci aby szybko przeglądnąć zawartość bo klient stoi za plecami. 3)Po za pozbawieniem możliwości infekcji z poziomu pendriva jak wyżej opisałem warto sam system też zabezpieczyć i nie siedzieć na koncie administratora tylko zwykłym z ograniczeniami dostępu. To już dawno ma zobione. (04.02.2023, 21:20)Quassar napisał(a): A po co ma uruchamiać? Linuks to ma być komputer pierwszego kontaktu, taki właśnie sandbox, izolatka. Ma przeskanować pliki a nie uruchamiać. RE: Skanowanie pendrive-ów klientów. - Quassar - 05.02.2023 Uruchamianie wirusa na 2 kompie nie rozwiąże technicznie problemu bo jak masz np 2x kasperskiego na głównej maszynie i na pobocznej To w przypadku infekcji niewykrytej zainfekujesz maszynę poboczną myśląc że wszystko jest ok na 1 rzut oka, a potem zainfekujesz jeszcze drugi komputer. Autorun off w zupełności wystarczy jeśli kolega pracuje tylko na plikach obrazkowych, a nie uruchamia dokumentów i innych plików wykonywalnych z obcych pendrive. Bo właściwie tylko tak wirusy automatycznie infekują, inna infekcja musi wynikać z interakcji usera czyli uruchamianie pliku wykonywalnego przez samego usera. Piaskownice czy też wirtualizacje można też nie tylko zastosować na nośnik i jego dane wymienne ale też uruchamiać domniemany program w sztucznym izolowanym środowisku. Jeśli wirus sie odpala zostanie w sztucznej strefie, a nie tej prawdziwej czytać głównym systemie. Jak już pisałeś tylko zdjęcia wywołują tak że nie powinno być problemu po wyłączeniu autoplay USB i nawet CD jak mają. No chyba że ich infekcja wynika nie tylko z podłączenia USB ale też że surfowania z Internetu. Wtedy tym bardziej zalecam skorzystanie z jakiegoś izolatora/kontenera. RE: Skanowanie pendrive-ów klientów. - bluszcz - 06.02.2023 Jakie typy plików (konkretne rozszerzenia, formaty) przynosi się do takiego zakładu? PNG, JPG, BMP nie mają w sobie np Javascriptu czy makr. Gorzej, jeśli otwiera jakieś dokumenty Office czy nawet PDF albo archiwa. RE: Skanowanie pendrive-ów klientów. - wredniak - 06.02.2023 (06.02.2023, 05:54)bluszcz napisał(a): Akurat PNG nie jest taki bezpieczny jak się wydaje. Nie wiem czy to kwestia przeglądarki do obrazów, ale gdzieś czytałem o umieszczaniu w PNG złośliwego kodu. RE: Skanowanie pendrive-ów klientów. - tachion - 06.02.2023 Ludzie którzy zgłaszali się z infekcjami takich penów, to swego czasu daną infekcje się usuwało i szczepiło programem chociażby usbfix, ale to nie o tym Dobrym pomysłem jest natomiast przeglądać takie nośniki w środowisku izolowanym albo chociażby w systemach unixowych gdzie faktycznie jest mniejsze narażenie głównego systemu operacyjnego. Co się tyczy autostartu takich penów nie ma to już znaczenia przy innych wektorach ataku a mianowicie można się zapoznać z nowo-starą techniką że tak powiem infekcji tych że nośników. [Aby zobaczyć linki, zarejestruj się tutaj] PlugX jest akurat starszym zagrożeniem w tym wypadku ale metoda infekcji już nie. RE: Skanowanie pendrive-ów klientów. - Quassar - 06.02.2023 Kiedyś z tego softu korzystałem za czasów windows 7/XP [Aby zobaczyć linki, zarejestruj się tutaj] Opcjonalnie Panda USB [Aby zobaczyć linki, zarejestruj się tutaj] Ale jak pisałem gpedit Wystarczy [Aby zobaczyć linki, zarejestruj się tutaj] |